[امنیت]

برنامه پاداش باگ‌های امنیتی

آسیب‌پذیری پیدا کردید؟ به ما گزارش بدهید و پاداش نقدی دریافت کنید. امنیت محصول وظیفه مشترک ما و جامعه است.

آخرین به‌روزرسانی: ۱۴۰۵/۰۳/۰۹

[۰۱] محدوده‌ی برنامه

دامنه‌های زیر در محدوده‌ی برنامه قرار دارند:

iranclaud.ir — پنل اصلی و وب‌سایت بازاریابی
iranclaud.ir/api/v1/* — درگاه REST API
iranclaud.ir/status و iranclaud.ir/changelog و سایر مسیرهای زیرساختی متعلق به ایران‌کلاد

خارج از محدوده: دامنه‌های مشتریان، خدمات شخص ثالث (زیبال، sms.ir)، حملات DoS/فلودینگ، و حملاتی که به منابع طرف دیگر آسیب می‌رسانند.

شدت	نمونه‌ها	پاداش (تومان)
بحرانی	RCE روی زیرساخت، نشت گسترده‌ی داده‌ی مشتریان، دور زدن کامل احراز هویت	تا ۵۰٬۰۰۰٬۰۰۰
بالا	SQLi با خروج داده، SSRF با دسترسی به متادیتای داخلی، نشت توکن یک مشتری	۱۰٬۰۰۰٬۰۰۰ تا ۲۰٬۰۰۰٬۰۰۰
متوسط	XSS بازتابی یا ذخیره‌شده در پنل، CSRF با اثر مهم، خطای منطقی صورت‌حساب	۳٬۰۰۰٬۰۰۰ تا ۸٬۰۰۰٬۰۰۰
پایین	افشای اطلاعات حساس کم‌اهمیت، نقص هدر امنیتی، آسیب‌پذیری کلاینت‌ساید با اثر محدود	۵۰۰٬۰۰۰ تا ۲٬۰۰۰٬۰۰۰

مبالغ دقیق بر اساس اثر واقعی، کیفیت گزارش و نخستین‌بودن یافته توسط تیم امنیتی تعیین می‌شود.

گزارش رمزنگاری‌شده به security@iranclaud.ir (کلید PGP در security.txt)
توضیح شفاف از مسیر بازتولید، اثر و حداقل یک proof-of-concept
تأیید دریافت گزارش طی ۴۸ ساعت کاری
بررسی، اعتبارسنجی و پاسخ نهایی طی ۱۴ روز
پس از رفع و انتشار اصلاحیه، پرداخت پاداش و درج نام شما در دیوار افتخار (اختیاری)

فقط روی حساب‌های متعلق به خودتان آزمایش کنید — به داده‌ی سایر مشتریان دست نزنید.
هیچ‌گونه DoS، اسپم، یا مهندسی اجتماعی علیه کارکنان مجاز نیست.
قبل از افشای عمومی، به ما زمان رفع بدهید (افشای هماهنگ‌شده).
اگر به داده‌ی شخص ثالث دسترسی پیدا کردید، فوراً متوقف شوید و گزارش بدهید.
هیچ‌گونه backdoor، malware، یا تغییر دایمی روی سیستم باقی نگذارید.

با تشکر از پژوهشگرانی که در امنیت ایران‌کلاد سهم داشته‌اند. این فهرست به‌زودی منتشر می‌شود — اگر می‌خواهید نامتان فهرست شود، در گزارش‌تان ذکر کنید.